Android, Google et sécurité

 

Vous êtes vous déjà demandé l’impact qu’ont des sociétés centralisant vos données telle que Google sur votre vie de tous les jours ? Faites une expérience simple, posez autour de vous la question suivante : “Quel serait les conséquences d’une intrusion sur votre compte Google ?”

Vous distinguerez alors plusieurs types de personnes, ceux qui ne divulguent aucune informations sur le net, ceux qui essayent de contrôler leurs informations et ceux qui n’ont pas conscience des risques. Les premiers sont principalement des informaticiens, ou des habitués du réseau, ils savent que toute information est précieuse et se protègent déjà au mieux. Leur problème est qu’ils n’ont pas (ou peu) une expérience personnalisée du Web, nous reviendrons sur ce point un peu plus tard. Si vous faites partie des deux autres catégories, alors ce dossier peut vous intéresser, il va parler de sécurité et de risques. En espérant que cette petite réflexion personnelle fasse changer le comportement de certains d’entre vous, alors cette rédaction n’aura pas été vaine.

La centralisation, un service avant tout

Depuis maintenant quelques années Google essaye de centraliser l’ensemble de ses services. D’ailleurs, commençez par lister l’ensemble des services Google que vous utilisez, Messagerie, Youtube, Picasa, Google Reader, Google Docs, Google Maps, Google Agenda, Android, Google plus … Tous ces services utilisent maintenant le même compte Google.

Cette centralisation permet une meilleure expérience utilisateur, la connaissance de vos habitudes leur permet par exemple de modifier les résultats d’une recherche Google. Par exemple, imaginons que vous possèdez un téléphone Android de type Samsung Galaxy S2, alors il pourra vous proposer lors d’une recherche sur Google en priorité les liens qui se rapportent à vôtre téléphone. Mais cela peut aller bien plus loin et s’appliquer à tous vos centres d’intérêt. C’est aussi pour Google (et c’est d’ailleurs une de ses principales sources de revenus) l’occasion de pouvoir cibler leur publicité et ainsi augmenter significativement leurs ventes (j’ai plus de chance d’acheter un logiciel informatique que de la nourriture pour ornithorynque, si tant est qu’il existe de la publicité pour un tel produit T_T). D’un autre côté nous observons depuis quelques années que Google n’est plus le seul à utiliser la centralisation de données. De nouvelles entreprises étudient vos habitudes pour en extraire les tendances et ainsi réaliser des études de marché fiables à moindre coûts. Ce sont justement ces études de marché, qui sont actuellement vendues quelques milliers de brouzoufs. Comprenez bien, que jusque là il n’y a pas tellement de risque, car c’est un service qui vous est proposé et pas une contrainte. Le problème ne vient pas du modèle, mais de la façon dont il peut être utilisé.

La centralisation, source de failles

De plus en plus de comptes Google sont piratés, tout d’abord pour l’appât du gain, mais aussi parce que c’est encore en accédant aux données privées d’un utilisateur qu’on en apprend le plus sur ses habitudes. Maintenant, livrez vous à une seconde expérience en listant tous les sites pour lesquels vous avez mentionné votre compte GMail en tant qu’adresse mail. Rappelez vous à chaque instant que quelqu’un ayant accès à votre compte GMail, peut tester cette même combinaison “identifiant/mot de passe” sur des sites de ventes en ligne (Amazon ? LDLC ? RueDucommerce ? Materiel.net ? …). Si le mot de passe est différent, il va tout simplement utiliser la procédure d’oubli de mot de passe pour s’en créer un nouveau (si le site ne demande pas d’autres informations telles qu’une question secrète, qui pourrai sans doute être retrouvée dans l’archive de vos mails …). Difficile donc, de protéger efficacement des données pourtant si critiques que sont vos numéros de comptes et vos identifiants. Google fourni cependant quelques mécanismes pour sécuriser davantage votre compte Google.

Les solutions

Première Solution : Un mot de passe sécurisé

La première solution est d’avoir un mot de passe unique pour votre compte de messagerie. Celle-ci étant extrêmement critique (voir paragraphe ci-dessus), il faut donc que le mot de passe soit différent de tous les autres sites. A titre informatif, suite à une intrusion en 2009 sur les serveurs de MSN et une diffusion des mots de passe, le site Acunetix diffuse des statistiques. On trouve sur 10000 mots de passe, 64 fois le mot de passe 123456, près de 40% ayant moins de 8 caractères et enfin 42% n’utilisant que des minuscules (Source). Ces chiffres sont tout simplement alarmants, tout simplement parcequ’ils ne résisteront pas aux attaques de Robots pirates qui testent très rapidement de nombreuses possibilités.

Comment faire un mot de passe plus robuste que la moyenne ?
Tout simplement en respectant quelques règles :

  • Un mot de passe de 8 caractères MINIMUM
  • Un mot de passe ayant au moins : 2 minuscules, 2 majuscules, 2 chiffres et 2 caractères spéciaux.

Alors vous allez me dire, je ne m’en souviendrai jamais … La solution est de noter ce mot de passe sur un support physique (papier, cahier, tatouage), ou de le mettre sur un site ou une machine que vous utilisez tous les jours. Alors vous serez obligé de l’appendre ! (C’est la méthode par la force). Sinon vous pouvez user de moyens mémo techniques basés sur la position des lettre sur le clavier par exemple. “09OL:;ki” est un mot de passe facile à retrouver sur votre clavier, car toutes les lettres sont à la suite les unes des autres.

Seconde Solution : Un moyen d’identification plus efficace

Nous avons vu que le principal problème est de garantir l’identité de l’utilisateur qui se connecte au compte GMail. Pour cela Google propose maintenant des mécanismes plus sécurisés que les solutions standards. Je parle de la validation en deux étapes. Ce mécanisme ajoute un code supplémentaire (en plus du mot de passe) à saisir lors de l’identification, qui ne peut être détenu que par le propriétaire. Comment identifier le propriétaire ? C’est simple, c’est celui qui possède son téléphone ! A chaque connexion, Google vous demandera un code temporaire. Ce code à une durée de validité très faible (de 20 secondes à 1h). Pour obtenir ce code, il faut être en possession du téléphone du propriétaire, il peut être envoyé par Sms sur un fixe ou sur un portable. Notez la possibilité d’utiliser une application Android nommée « Google Authenticator« , permettant (une fois configurée) de donner les codes gratuitement. Lors de l’activation de la validation en deux étapes, Google vous fourni néanmoins des codes de secours, qui sont eux, toujours valides. Ces codes la ne doivent être utilisés qu’en cas de secours. Ils permettent par exemple de se connecter si l’on n’a pas son téléphone sous la main. Notez qu’il est tout de même possible de mémoriser un ordinateur comme ‘Fiable’ pendant 30 jours, pour éviter de retaper le code (à ne faire du coup que sur un ordinateur personnel).

Google Authenticator

Google Authenticator

Que faire des applications qui ont besoin d’un accès à certaines données du compte Google (News / Agenda / Mails / Photos / Chrome / …). Elles ne peuvent donc plus se connecter directement à votre compte en leur donnant votre mot de passe Google, vu qu’elles n’ont pas le code correspondant. Vous pouvez alors utiliser les mots de passes applicatifs, que vous pouvez générer sur la page de Google comptes, pour permettre aux applications d’accéder aux données. Vous générerez un mot de passe unique par application, à validité non limitée. Le principal avantage est donc d’avoir un mot de passe pour chaque application, et ainsi de pouvoir révoquer leur accès d’un simple clic si on ne les utilise plus (ou on ne souhaite plus qu’elles accèdent à notre compte). Il est aussi possible de contrôler quel type de donnée est visible pour chacune des applications ( Mon lecteur de news n’a pas besoin de voir mes mails ).

Troisième Solution : Attention aux applications Google Play

Android est en pleine expansion, vous l’avez tous remarqué. Le nombre d’applications disponible sur Google Play monte en flêche et de nombreux groupes aux intentions douteuses profitent de cette masse d’applications pour proposer des applications demandant des droits abusifs sur vos téléphones. Par exemple, certaines d’entre elles demandent le droit de téléphoner pour pouvoir téléphoner à votre insu à certains numéros surtaxés. L’ensemble de ces droits sont affichés au moment où vous téléchargez une application. Cependant, qui a déjà pris le temps de lire ce que donnait réellement chacun des droits cités ? Je vous propose une petite liste (non exhaustive) des droits les plus critiques.

  • APPELER DIRECTEMENT DES NUMÉROS DE TÉLÉPHONE : Permet à l’application de téléphoner directement (possibilité d’appel de numéro surtaxés).
  • LIRE, ENVOYER ET RECEVOIR DES SMS : Idem que pour les appels, notez qu’ils ont la possibilité de les LIRE !
  • MODIFIER LE CONTENU DE LA CARTE SD : L’application peut accéder à tout votre contenu sur la carte SD (Photos / Mp3 / …).
  • LOCALISATION GPS : Permer à l’application un accès direct et total de votre position, en utilisant la puce GPS
  • PERSONNAL INFORMATION : Regroupe les accès aux agenda et contacts principalement.

Pour plus de détails, je vous conseille l’article de Technically Personal, qui recence tous les droits en expliquant leur implication ICI

Illustrons maintenant l’application les droits de l’application Facebook, qui demandait il y a encore peu les droits suivants :

Pensez vous vraiment qu’ils soient tous nécessaires ? C’est pourquoi il existe de plus en plus d’applications permettant justement de limiter l’accès à ces droits, les utilisateurs d’un système alternatif comme Cyanogen peuvent aussi contrôler ces accès.

Quatrième Solution : Vérifiez vos connexions

Sur votre page GMail, il y a un petit cadre à surveiller situé en bas de la page.

En cliquant sur le “Détails” vous avez accès à l’ensemble des ordinateurs étant actuellement connecté à votre compte de Messagerie. Et aussi quelques connexions récentes. Il est bon de vérifier de temps en temps qu’une machine improbable ne soit par connecté (Par exemple en Chine, si vous êtes actuellement en France).

Sur cette même page, il est possible de déconnecter l’ensemble des machines connectées, et de d’activer une alerte en cas de connexion inhabituelle. Pensez donc à cette page, si vous quittez une machine en ayant oublié de vous déconnecter.

Bilan : mon avis sur la sécurité des données face à leur centralisation.

Nous avons étudié les différentes solutions proposées aux problèmes posés par la centralisation de données. Seulement, il existe toujours des failles. Du coup, si vos données ne sont pas en sûreté, est-il vraiment sage de les laisser disponible sur Internet ? La réponse est bien évidemment Non. Sauf que le service en ligne qui est proposé aujourd’hui est devenu un besoin pour nous pauvres consommateurs. C’est pourquoi il faut aussi essayer de toujours garder un certain anonymat sur Internet. Ensuite, si vous suivez les solutions proposées le risque est fortement diminué (pour ne pas dire négligeable). Maintenant, que deviendriez vous si Google fermait ses portes demain ? Vous perdriez beaucoup ? Pouvez vous toujours à l’heure d’aujourd’hui repenser un Internet sans Google et ses outils ? Êtes vous Google Addict ?


Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !

Les derniers articles